Hur man visar efterlevnad av GDPR artikel 14

Storbritanniens GDPR-version

Information som ska lämnas om personuppgifter inte har inhämtats från den registrerade

1. Om personuppgifter inte har erhållits från den registrerade ska den registeransvarige förse den registrerade med följande information:
• Identiteten och kontaktuppgifterna för den registeransvarige och, i förekommande fall, för den registeransvariges representant;
• Dataskyddsombudets kontaktuppgifter, i tillämpliga fall;
• Ändamålen för den behandling som personuppgifterna är avsedda för samt den rättsliga grunden för behandlingen;
• De berörda kategorierna av personuppgifter;
• Mottagarna eller kategorierna av mottagare av personuppgifterna, om några;
• I tillämpliga fall att den personuppgiftsansvarige avser att överföra personuppgifter till en mottagare i ett tredjeland eller en internationell organisation och förekomsten eller avsaknaden av relevanta adekvata bestämmelser enligt 17A § i 2018 års lag, eller vid överföringar som avses i artikel 46 eller 47, eller andra stycket i artikel 49, hänvisning till lämpliga eller lämpliga skyddsåtgärder och sätten att få en kopia av dem eller om de har gjorts tillgängliga.
2. Utöver den information som avses i punkt 1 ska den registeransvarige förse den registrerade med följande information som är nödvändig för att säkerställa rättvis och öppen behandling av den registrerade:
• Den period under vilken personuppgifterna kommer att lagras, eller om det inte är möjligt, de kriterier som används för att bestämma denna period;
• Om behandlingen grundar sig på artikel 6 f, de legitima intressen som eftersträvas av den registeransvarige eller av en tredje part;
• Förekomsten av rätten att begära från den registeransvarige tillgång till och rättelse eller radering av personuppgifter eller begränsning av behandling som rör den registrerade och att invända mot behandling samt rätten till dataportabilitet;
• Om behandlingen grundar sig på artikel 6 a eller artikel 1 a, förekomsten av rätten att när som helst återkalla samtycke, utan att det påverkar lagligheten av behandling som bygger på samtycke innan dess uttag;
• Rätten att lämna in ett klagomål till kommissionären;
• Från vilken källa personuppgifterna kommer från, och om tillämpligt, om de kom från allmänt tillgängliga källor;
• Förekomsten av automatiserat beslutsfattande, inklusive profilering, som avses i artikel 22 och 1 och, åtminstone i dessa fall, meningsfull information om logiken i fråga, såväl som betydelsen och de förväntade konsekvenserna av sådan behandling för den registrerade.
3. Den registeransvarige ska tillhandahålla den information som avses i punkterna 1 och 2:
• Inom en rimlig tid efter att personuppgifterna har inhämtats, dock senast inom en månad, med hänsyn till de särskilda omständigheter under vilka personuppgifterna behandlas;
• Om personuppgifterna ska användas för kommunikation med den registrerade, senast vid tidpunkten för den första kommunikationen till den registrerade; eller
• Om ett utlämnande till en annan mottagare är tänkt, senast när personuppgifterna först lämnas ut.
4. Om den personuppgiftsansvarige avser att vidarebehandla personuppgifterna för ett annat ändamål än det för vilket personuppgifterna inhämtades, ska den personuppgiftsansvarige före den vidare behandlingen förse den registrerade med information om det andra ändamålet och all relevant ytterligare information enligt vad som avses. till i punkt 2.
5. Punkterna 1–4 ska inte tillämpas om och i den mån:
• Den registrerade har redan informationen;
• Tillhandahållande av sådan information visar sig vara omöjlig eller skulle innebära en oproportionerlig ansträngning, särskilt för behandling för arkiveringsändamål i allmänhetens intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål, med förbehåll för de villkor och garantier som avses i artikel 89 eller i den mån den skyldighet som avses i punkt 1 i denna artikel sannolikt kommer att omöjliggöra eller allvarligt försämra uppnåendet av målen för behandlingen. I sådana fall ska den registeransvarige vidta lämpliga åtgärder för att skydda den registrerades rättigheter och friheter och legitima intressen, inklusive att göra informationen tillgänglig för allmänheten.
• Inhämtning eller avslöjande är uttryckligen fastställt av nationell lag, som tillhandahåller lämpliga åtgärder för att skydda den registrerades legitima intressen; eller
• Där personuppgifterna måste förbli konfidentiella med förbehåll för en tystnadsplikt som regleras av nationell lagstiftning, inklusive en lagstadgad tystnadsplikt.

Teknisk kommentar

Organisationer måste göra följande information tillgänglig efter insamling av ämnets data:

1. Identiteten för deras dataskyddsombud.
2. Kontaktuppgifter till deras dataskyddsombud.
3. Syftet och den rättsliga grunden för att samla in uppgifterna.
4. De kategorier av personuppgifter som indirekt har erhållits.
5. Eventuella legitima intressen.
6. Mottagarnas identitet.
7. Internationella överföringar av data, inklusive landsdetaljer och skyddsåtgärder.

Skyldigheter att tillhandahålla information när personuppgifter erhålls

Utöver ovanstående information behöver organisationen också tillhandahålla:

1. Detaljer om datalagringsperioden;
2. Detaljerna för den registrerades rättigheter enligt dataskyddslagstiftningen;
3. Information om hur man återkallar samtycke;
4. Hur man lämnar in ett klagomål;
5. Eventuella avtalsenliga eller lagstadgade krav;
6. Detaljer om automatiserade beslutsprocesser.

Tidsgränser för vilken information om bearbetning som ska tillhandahållas

• Scenario 1 – Personuppgifter som samlas in med ingen avsikt att kontakta den registrerade eller lämna ut uppgifterna till en tredje part
• Tidsgräns för kontakt – En månad
• Scenario 2 – Personuppgifter som samlas in med en avsikt att kontakta den registrerade
• Tidsgräns för kontakt – Två månader
• Personuppgifter som samlats in med en avsikt att avslöja dem för en tredje part
• Tidsgräns för kontakt – Två månader

EU GDPR artikel 14 och ISO 27701 klausul 7.3.2

Detta avsnitt hänvisar till GDPR-artiklarna 14 (1)(a), 14 (1)(b), 14 (1)(c), 14 (1)(d), 14 (1)(e), 14 (1)( f), 14 (2) (b), 14 (2) (e), 14 (2) (f), 14 (3) (a), 14 (3) (b), 14 (3) (c) , 14 (4), 14 (5) (a), 14 (5) (b), 14 (5) (c), 14 (5) (d)

Se ISO 27701 klausul 7.3.2 vägledning i artikel 13.

EU GDPR artikel 14 (2)(d) och ISO 27701 klausul 7.3.4

Se ISO 27701 klausul 7.3.4 vägledning i artikel 13.

EU GDPR artikel 14 (2)(c) och ISO 27701 klausul 7.3.5

Se ISO 27701 klausul 7.3.5 vägledning i artikel 13.

EU GDPR artikel 14 (2)(c) och ISO 27701 klausul 7.3.6

Se ISO 27701 klausul 7.3.6 vägledning i artikel 13.

EU GDPR artikel 14 (2)(g) och ISO 27701 klausul 7.3.10

Se ISO 27701 klausul 7.3.10 vägledning i artikel 13.

EU GDPR artikel 14 (2)(a) och ISO 27701 klausul 7.4.7

Se ISO 27701 klausul 7.4.7 vägledning i artikel 13.

Stöd för kontroller från ISO 27701

Hur ISMS.online hjälper

Vi tillhandahåller en miljö som är förbyggd för dig för att beskriva och demonstrera din metod för att skydda dina europeiska och brittiska kunddata som sömlöst passar in i ditt ledningssystem.

Det är därför vi har skapat en inbyggd riskbank och en rad andra praktiska verktyg som hjälper till med varje del av riskbedömningen och hanteringsprocessen. Vilka integritetsstandarder eller regler du än arbetar med, måste du visa hur väl du hanterar förfrågningar om datasubjekträttigheter (DRR). Vårt säkra DRR-utrymme håller allt på ett ställe och stödjer det med automatisk rapportering och insikt.

Ta reda på mer av boka en 30 minuters demo.